Beyond1536的博客

目标：1. 导入时根据日期判断日志是否存入ElasticSearch中2. 定期清除过期（老）日志本地缓存导入时过滤老日志Filebeat将日志导入时，会有一些导入范围的问题。一些过久之前的日志导入ELK中显得意义不大且浪费计算机资源。通过指定路径下通过通配符号匹配的文件，而又要控制该日志文件对应的日期不要过久，我们可以在收集器 Filebeat 中进行设置从而达到只收集近N天日志的目的。我们在filebeat.yml配置文件中，Inputs下加入：ignore_older : 2

目标：使用Logstash的配置文件中的过滤器filter，对日志内容进行简单解析，并处理输出时生成字段。Logstash实现多路接收。观察日志格式系统中的日志，能够大概分为以上两种类型，一种是纯系统操作信息日志，另一种是系统操作信息后，附带JSON格式的具体实体信息。两种日志中，开头的信息及结构都是相同的。包括 日志编码、日志产生时间、日志产生线程、日志类型、日志产生类路径、日志内容。grok正则捕获我们可以通过gork，解析抽离出日志中的日志编码、日志产生时间

目标：对ElasticSearch进行安全性配置。是的输入端（Logstash）和输出端（Kibana）都需要用户身份验证。Filebeat链接Logstash使用ssl验证。启用ElasticSearch安全功能使用基本许可证时，默认情况下禁用 Elasticsearch 安全功能。启用 Elasticsearch 安全功能可启用基本身份验证，以便可以使用用户名和密码身份验证运行本地集群。1. 如果 Kibana 和 Elasticsearch 正在运行，需要停止后再进行操作。2. 将

目标：分别安装ELK组件（ElasticSearch, Kibana, Logstash, Filebeat）的安装并分别运行，其中在ElasticSearch服务机安装Elasticsearch和Kibana，在日志生成机安装Logstash和Filebeat。组件下载通过官网下载途径https://www.elastic.co/downloads，得知目前ELK最新版本为7.13.4，并且获得组件安装的URL，分别在ElasticSearch服务机和日志生成机安装组件，命令如下：在Ela